Sikkerhedsbrist i virksomhedsregister: Alle kan blive direktør

16. september 2014 kl. 10:1516
Alle med NemID kan logge ind og ændre på følsomme oplysninger i selv store danske virksomheder som Jysk og Coop, skriver DR Nyheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det tager kun et øjeblik at blive direktør i nogle af Danmarks største virksomheder.

Med NemID kan man logge ind på Erhvervsstyrelsens database, Webreg, gennem hjemmesiden Virk.dk og uden yderligere autentificering få adgang til at ændre vigtige virksomhedsoplysninger som ansatte, moms, import og eksport. Og ikke mindst kan man også indsætte sig selv som administrerende direktør i virksomheden.

Det skriver DR Nyheder, efter at en af mediets journalister fik adgang til blandt andet store danske virksomheder som Coop, Jysk og TV2.

»Jeg er faktisk ret overrasket over, at det er så nemt at ændre på nogle ret væsentlige oplysninger. Og det er oplysninger, der også bruges af andre virksomheder og myndigheder. Derfor burde det kun være dem, der har rettigheder til selskabet, der kan ændre i dem,« siger erhvervspolitisk chef i FSR - Danske Revisorer Tom Vile Jensen til DR Nyheder.

Alle ændringer bliver sporet

Sikkerhedshullet begrænser sig dog ikke kun til Erhvervsstyrelsens hjemmeside, for når der bliver lavet ændringer i Webreg, bliver de sendt videre til andre offentlige it-systemer hos blandt andet Skat og CVR-registeret.

Artiklen fortsætter efter annoncen

»Kan man indsætte sig selv som direktør for en virksomhed, får man lige pludselig ret til at tegne virksomheden - det vil sige skrive under på virksomhedens vegne, agere på virksomhedens vegne, indgå aftaler og handler. Det er altså en alvorlig sag,« siger Ulf Munkedal, it-sikkerhedsekspert hos Fort Consult til DR Nyheder.

Mens nogle større virksomheder har valgt at kræve et password, før man kan ændre på virksomhedsoplysningerne, gælder det langtfra alle - blandt andet har Coop ikke gjort det ifølge DR Nyheder. Erhvervsstyrelsen holder dog indtil videre fast på den åbne løsning:

»Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur. Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven,« siger kontorchef Lars Buch til DR Nyheder.

Fra næste år vil Erhvervsstyrelsen indføre en adviseringsfunktion, der giver besked på mail, når der er lavet ændringer i en virksomheds oplysninger.

Artiklen blev opdateret den 16.09.2014 kl. 14.30

16 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
17. september 2014 kl. 10:00

»Det er korrekt, at man kan registrere på en anden virksomhed, Men man gør det jo ikke anonymt, men ved brug af en digital signatur. Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven,« siger kontorchef Lars Buch til DR Nyheder.

Riiight. Så, Lars Buch synes altså at det er en fin ide, at han lader sin gadedør stå helt åben, uden lås, fordi at der er et sikkerhedskamera der filmer indgangen? Kunne være et spændende socialt eksperiement, det synes jeg da vi skal afprøve.....

Hvilken planet kommer de her folk fra?

14
16. september 2014 kl. 18:05

Er der så nogen der sætter sig som direktør for NETS og sætter det til salg for en daler? - men kun fordi man kan!

13
Indsendt af Thomas Hansen (ikke efterprøvet) den tir, 09/16/2014 - 16:38

Også i denne sammenhæng, kan det konstateres at NemID ikke er en sikker autentifikation. Længere er den vel ikke.

Det medfører utallige problemer, i utallige sammenhænge.

12
16. september 2014 kl. 16:09

Selvfølgelig kan Nets se, hvem der har tilgået hvilke data. De har et såkaldt PCI DSS certifikat. Dette er i overenstemmelse med en PCI (Payment Card Industry Standard(, v3.0 af november 2013. Denne standard er en typisk ramme standard, der opremser essentielle krav, men som ikke laver detailkrav. f.ex. er det et krav at have et system til at monitere afvigelser fra normal drift. Men der st[r ikke hvor ofte dette skal ske, hvem der skal have ansvaret og hvilke konsekvenser en misligholdelse skal have. Det er op til virksomhedens interne kvalitetssystem.

Dette blot til orientering, mvh. Jens

7
16. september 2014 kl. 11:25

Tænk hvis alle selvfølgelig kunne hæve på virksomhedens konto med NemId, fordi systemet jo bare logger hvem der gør hvad.

Tænk hvis alle ansatte i Nets selvfølgelig havde adgang til personfølsomme Dankort-oplysninger, fordi systemet bare logger hvem der gør hvad.

Tænk hvis alle selvfølgelig havde adgang til at udskrive recepter, fordi systemet bare logger hvem der gør hvad.

Det står sløjt til.

10
16. september 2014 kl. 13:04

Du kan da sagtens skrive en recept på papir og lade nogen hente den. Det er klart ikke tilladt at gøre dette, medmindre du er læge og overholder de regler der gælder for det. Helt på linie med alle andre papir-dokumenter, så ligger hele "sikkerheden" i sanktionerne ved misbrug.

Nets-sagen er meget anderledes: Den handler om, at en virksomhed internt ikke har styr på sine egne data og egne ansattes brug af dem. Det er en helt anden situation end CVR, der blot skal offentliggøre nogle data, som de ikke selv har egentligt ansvar eller ejerskab af.

Så længe man elektronisk har godt styr på, hvem der lavede misbrug, og det kun handler om ting, hvor "undo" er nemt og smertefrit, så kan jeg ikke se nogen god grund til at bruge en masse ressourcer på at gøre det sværere og dyrere for de legitime brugere. Hvis man virkelig vil, så skal man jo samtidig kræve personligt fremmøde og foto-id fremfor papirformularerne til virksomhedsregistrering for ikke at efterlade en ladeport der. Det er ude af proportioner med formålet.

5
16. september 2014 kl. 10:59

Før digitaliseringen (og vel stadig?) kunne man man blot udfylde en papirformular, underskrive den, og så blev den indtastet og taget for gode varer.

Den forretningsgang har man digitaliseret. Det er så vidt jeg ved et bevidst valg. Der er heller ikke rigtig noget alternativ, for i mange sammenhænge kan CVR ikke vide hvem der er direktør eller i øvrigt har ret til at rette oplysningerne.

Jeg synes det er en fornuftig måde at håndtere det på, bortset fra, at man som "afsat direktør" burde få besked om ændringen, så fejl/misbrug hurtigere opdages.

Hvis man vil styrke troværdigheden af oplysningerne, så kunne man lade en virksomhed logge på med en medarbejdersignatur og trykke ja til at det fremadrettet kræver en medarbejdersignatur fra samme CVR at rette noget. Det tror jeg bare ikke ret mange vil vælge at gøre.

4
16. september 2014 kl. 10:35

Det er jo rent faktisk meningen at det skal fungere på den her måde - så at snakke om en sikkerhedsbrist, er vel forkert? Det er vel nærmere en (kort-/fejl-)slutning hos beslutningstagerne?

2
16. september 2014 kl. 10:28

Vil give Lars ret, overskriften er jo direkte misvisende...

Hvis det nu havde været BT eller Ekstra-bladet havde jeg nok haft forståelse for det, men når nu Version2 selv mener, at de "vil levere uafhængig information af høj faglig kvalitet. Synsvinklen er de professionelle brugeres"...

1
16. september 2014 kl. 10:22

At NemID ikke er nogen optimal løsning er der nok mange der er enige i, men at give NemID skylden for at VIRK har lavet en dårlig implementering er måske lidt sensationspræget. Virk har jo bare sagt: "Du er nu logget ind med NemID, nu kan du rette ALT". Det er ikke NemID's skyld. Overskriften burde vel rettelig være "Sikkerhedsbrist i VIRK: Alle kan blive direktør"

11
16. september 2014 kl. 14:33

Tak for rettelsen - det er rigtigt, og jeg har ændret det nu. /Elías

3
16. september 2014 kl. 10:33

Vi vil altid kunne se, hvem der har ændret hvad og hvornår. Og hvis vi konstaterer misbrug, kan man altså blive straffet i henhold til straffeloven

Jura > Tekniske foranstaltninger